Upload
lekhue
View
215
Download
0
Embed Size (px)
Citation preview
www.ldi.nrw.de – [email protected] Seite 1 von 28
Häufig gestellte Fragen zu Datenschutzbeauftragten (FAQ)
Dieser Beitrag gibt einen Überblick über die neuen Regelungen zu Datenschutz-
beauftragten nach der Datenschutz-Grundverordnung und der JI-Richtlinie. Er
richtet sich sowohl an behördliche, als auch an betriebliche Datenschutzbeauf-
tragte.
Seit dem 25. Mai 2018 finden die Datenschutz-Grundverordnung und die JI-
Richtlinie Anwendung. Damit gehen viele Neuerungen für das Berufsbild der
Datenschutzbeauftragten einher. Datenschutzbeauftragte werden weiterhin für
viele Behörden und Unternehmen eine zentrale Rolle einnehmen, zumal sie die-
se dabei unterstützen, die Einhaltung der neuen Regelungen zu gewährleisten.
Datenschutzbeauftragte werden zukünftig erheblich dazu beitragen, ein effizien-
tes Datenschutz-Managementsystem in der Behörde oder im Unternehmen zu
implementieren. Sie sind darüber hinaus wichtige Vermittler zwischen den Be-
teiligten, wie z. B. Aufsichtsbehörden, Betroffenen und Behörden bzw. Unter-
nehmen.
Die Artikel-29-Gruppe, in der die europäischen Datenschutzaufsichtsbehörden
zusammenarbeiten, hat in ihrer 108. Sitzung am 12.12./13.12.2016 Richtli-
nien zu Datenschutzbeauftragten veröffentlicht. Diese Richtlinien sind unver-
bindliche Auslegungshilfen. Die folgenden Informationen berücksichtigen diese
Auslegungshilfe und ergänzen sie. Sie werden weiterhin kontinuierlich aktuali-
siert, erweitert und gegebenenfalls angepasst.
Das neue Bundesdatenschutzgesetz (BDSG-neu), welches am 25. Mai 2018 in
Kraft trat, sieht bei betrieblichen Datenschutzbeauftragten weitergehende Be-
stellpflichten vor, die in etwa der bisherigen Regelung entsprechen.
■ Datenschutz ■ Datenschutzbeauftragte ■ Datenschutzbeauftragte nach DS-GVO und JI-RL
Stand: 08/2019
www.ldi.nrw.de – [email protected] Seite 2 von 28
Davon abgesehen gelten die Regelungen der Grundverordnung unmittelbar.
Im Anwendungsbereich der JI-Richtlinie sind noch landesrechtliche Regelungen
zur Umsetzung erforderlich.
Dieser Beitrag befasst sich nicht mit den öffentlichen Stellen des Bundes.
I. Benennung von Datenschutzbeauftragten, Artikel 37 DS-GVO/Artikel 32 JI-RL
1. Wer muss Datenschutzbeauftragte benennen?
Die DS-GVO bzw. die JI-RL sieht die Benennung von Datenschutzbeauftragten
weiterhin vor. Die Regelungen hierzu sind in Abschnitt 4, Artikel 37, 38 und 39
DS-GVO bzw. in Abschnitt 3, Artikel 32, 33 und 34 JI-RL zu finden.
Benennung von Datenschutzbeauftragten nach § 38 BDSG-neu:
Die Öffnungsklausel des Artikels 37 Absatz 4 DS-GVO sieht vor, dass der Ver-
antwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereini-
gungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertre-
ten, Datenschutzbeauftragte auf freiwilliger Basis benennen können, es sei
denn, ein Mitgliedsstaat schreibt die Benennung ausdrücklich vor. Der Bundes-
gesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benen-
nung von betrieblichen Datenschutzbeauftragten dem in Deutschland bestehen-
den „Status quo“ anzupassen (vgl. § 4f BDSG-alt sowie § 38 BDSG-neu).
Demnach ist eine Benennung von Datenschutzbeauftragten auch in folgenden
Fällen erforderlich:
es werden in der Regel mindestens zehn Personen ständig mit der automa-
tisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Absatz 1
Satz 1 BDSG-neu) oder
www.ldi.nrw.de – [email protected] Seite 3 von 28
es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgen-
abschätzung nach Art. 35 DS-GVO unterliegen oder
es werden personenbezogene Daten geschäftsmäßig zum Zweck der Über-
mittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder
Meinungsforschung verarbeitet.
In den beiden letztgenannten Fällen müssen unabhängig von der Anzahl der mit
der Verarbeitung beschäftigten Personen Datenschutzbeauftragte benannt wer-
den (§ 38 Absatz 1 Satz 2 BDSG-neu).
Soweit keine Pflicht zur Benennung von Datenschutzbeauftragten vorliegt, un-
terstützt und begrüßt die LDI NRW freiwillige Bemühungen durch die Verant-
wortlichen und Auftragsverarbeiter. Im Falle einer freiwilligen Benennung von
Datenschutzbeauftragten unterliegen deren Benennung, Stellung und Aufga-
benbereich den gleichen Anforderungen wie bei einer obligatorischen Benen-
nung (Artikel 37-39 DS-GVO, vgl. Artikel 32-34 JI-RL). Im nicht-öffentlichen
Bereich gilt der besondere Abberufungs- und Kündigungsschutz für betriebliche
Datenschutzbeauftragte jedoch nur, soweit dessen Benennung verpflichtend ist
(vgl. § 38 Absatz 2 BDSG-neu).
Erläuterungen:
Die Verarbeitung erfolgt nur dann automatisiert, wenn sie unter Einsatz von
Datenverarbeitungsanlagen (Computer/Tablets etc.) erfolgt. Personen, die nicht
mit einer automatisierten Datenverarbeitung befasst sind, werden bei der Er-
mittlung der Personenzahl nicht mitgezählt. Ebenfalls ist eine Verarbeitung an-
derer Daten als solche zu natürlichen Personen nicht zu berücksichtigen.
Der Begriff „ständig“ ist nicht so auszulegen, dass die Datenverarbeitung an-
dauernd erfolgen müsste. Es reicht aus, dass die Tätigkeit auf Dauer angelegt
ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist,
selbst wenn die Tätigkeit nur in zeitlichen Abständen (z.B. monatlich) anfällt.
www.ldi.nrw.de – [email protected] Seite 4 von 28
Die Art des Beschäftigungsverhältnisses spielt bei der Frage, welche Personen
für die Datenverarbeitung zu berücksichtigen sind, keine Rolle. Sowohl die Lei-
tung als auch angestellte Beschäftigte, Aushilfen, Azubis oder Leiharbeitskräfte
sind gleichermaßen zu berücksichtigen. Unerheblich ist auch, ob die jeweiligen
Personen in Voll- oder Teilzeit arbeiten. Entscheidend ist, dass die Verarbeitung
von personenbezogenen Daten Bestandteil der Tätigkeit ist, also in der Aufga-
benbeschreibung eingeschlossen ist. Das ist beispielsweise bei Reinigungskräf-
ten, Fahrern oder Gärtnern in der Regel nicht der Fall, so dass diese bei der Be-
rechnung nicht mit zu berücksichtigen sind.
Berücksichtigung der mit der automatisierten Datenverarbeitung be-
schäftigten Personen bei Verantwortlichen und Auftragsverarbeitern
Müssen Datenschutzbeauftragte benannt werden, wenn weder der Verantwortli-
che noch ein oder mehrere für ihn tätige Auftragsverarbeiter jeweils für sich
allein weniger als zehn Personen mit der Datenverarbeitung beschäftigen, die
Gesamtzahl aller mit der Verarbeitung beschäftigten Personen zusammen je-
doch bei zehn oder mehr Personen liegt?
Ergänzend zu Art. 37 Abs. 1 Buchst. b und c der DS-GVO sieht § 38 Abs. 1 S. 1
BDSG-neu vor, dass Verantwortliche und Auftragsverarbeiter eine(n) Daten-
schutzbeauftragte(n) (DSB) benennen, soweit sie in der Regel mindestens zehn
Personen ständig mit der automatisierten Verarbeitung personenbezogener Da-
ten beschäftigen. Die DS-GVO unterscheidet insoweit grundsätzlich zwischen
den verschiedenen Rollen des „Verantwortlichen“ und des „Auftragsverarbei-
ters“. Die Pflicht zur Benennung eines DSB trifft nach Art. 37 DS-GVO und § 38
BDSG auch den Auftragsverarbeiter selbst.
Die Personenzahl ist daher jeweils für Verantwortliche und Auftragsverarbeiter
getrennt zu prüfen. Für jede der Stellen, die mehr als zehn Personen ständig
mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist
dort zwingend ein Datenschutzbeauftragter zu benennen.
www.ldi.nrw.de – [email protected] Seite 5 von 28
Benennung eines Datenschutzbeauftragten nach der DS-GVO
Artikel 37 DS-GVO differenziert zwischen den Fällen, in denen auf jeden Fall
Datenschutzbeauftragte zu benennen sind, und denen, in denen es den nationa-
len Gesetzgebern überlassen bleibt, weitere Regelungen zu treffen.
Nach Artikel 37 Absatz 1 DS-GVO sind durch Verantwortliche und Auftragsver-
arbeiter auf jeden Fall Datenschutzbeauftragte zu benennen, wenn eine der fol-
genden Voraussetzungen gegeben ist:
Öffentliche Stelle
Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durch-
geführt. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer
justiziellen Tätigkeit handeln.
Kerntätigkeit: Überwachung von Personen
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters be-
steht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund
ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, re-
gelmäßige und systematische Überwachung von betroffenen Personen er-
forderlich machen.
Kerntätigkeit: Verarbeitung von besonderen Datenkategorien o-
der Strafrechtsdaten
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters be-
steht in der umfangreichen Verarbeitung besonderer Kategorien von Da-
ten gemäß Artikel 9 DS-GVO (sensitive Daten) oder von personenbezo-
genen Daten über strafrechtliche Verurteilungen und Straftaten gemäß
Artikel 10 DS-GVO (Daten über strafrechtliche Verurteilungen).
Neu ist, dass seit Geltung der DS-GVO auch Auftragsverarbeiter in den oben
genannten Fällen dazu verpflichtet sind, Datenschutzbeauftragte zu benennen.
Für öffentliche Stellen gibt es nach der DS-GVO keinen Regelungsspielraum, da
die DS-GVO insoweit abschließend ist (Artikel 37 Absatz 1 Buchstabe a) DS-
GVO).
www.ldi.nrw.de – [email protected] Seite 6 von 28
Benennung von Datenschutzbeauftragten nach der JI-RL
Nach Artikel 32 Absatz 1 JI-RL sehen die Mitgliedstaaten vor, dass Verantwortli-
che Datenschutzbeauftragte benennen.
Nationaler Regelungsspielraum:
Die Mitgliedstaaten können Gerichte und andere unabhängige Justizbehörden
im Rahmen ihrer justiziellen Tätigkeit von dieser Pflicht befreien (vgl. Artikel 32
Absatz 1 Satz 2 JI-RL). Auf Bundesebene hat der Gesetzgeber lediglich klarge-
stellt, dass die Aufgaben behördlicher Datenschutzbeauftragter eines Gerichtes
sich nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit
beziehen (§ 7 Absatz 1 Satz 2 BDSG-neu).
In NRW ist das Gesetzgebungsverfahren noch nicht abgeschlossen.
2. Können mehrere Verantwortliche eine(n) gemeinsame(n) Daten-schutzbeauftragte(n) benennen?
Ja. Eine Unternehmensgruppe darf eine(n) gemeinsame(n) Datenschutzbeauf-
tragte(n) benennen (vgl. Artikel 37 Absatz 2 DS-GVO). Voraussetzung hierfür
ist, dass die Person von jeder Niederlassung aus leicht erreicht werden kann.
Behörden oder öffentliche Stellen haben die Möglichkeit, für mehrere Behörden
oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe
gemeinsame Datenschutzbeauftragte zu benennen (Art. 37 Absatz 3 DS-GVO,
vgl. Art. 32 Absatz 3 JI-RL).
Der Bezug auf Organisationsstruktur und Größe bedeutet auch, dass Verant-
wortliche sicherstellen müssen, dass gemeinsame Datenschutzbeauftragte in
der Lage sind, die Aufgaben zu erfüllen, welche ihnen in Bezug auf sämtliche
Behörden oder öffentlichen Stellen übertragen wurden.
Anders als unter dem BDSG (alt) genügt künftig ein einziger Benennungsakt.
www.ldi.nrw.de – [email protected] Seite 7 von 28
3. Unter welchen Voraussetzungen liegt eine leichte Erreichbarkeit nach Artikel 37 Absatz 2 DS-GVO vor?
Die leichte Erreichbarkeit von Datenschutzbeauftragten liegt dann vor, wenn
sowohl die persönliche, als auch die sprachliche Erreichbarkeit gewährleistet ist
(vgl. Artikel 37 Absatz 2 DS-GVO). Die leichte Erreichbarkeit der Datenschutz-
beauftragten soll gleichermaßen sowohl für Betroffene, als auch für Aufsichts-
behörden sowie Beschäftigte innerhalb des Unternehmens gewährleistet sein.
Innerhalb des jeweiligen Unternehmens sind Vorkehrungen zu treffen, die es
den Betroffenen oder anderen Stellen ermöglichen, die Datenschutzbeauftrag-
ten zu erreichen (persönliche Erreichbarkeit). Beispiele: Einrichtung einer Hot-
line, Kontaktformular auf der Homepage, Sprechstunde für Beschäftigte im Un-
ternehmen.
Hierzu ist es empfehlenswert, die Kontaktdaten der Datenschutzbeauftragten
sowohl intern, z. B. im Intranet oder im Organigramm, als auch extern auf der
Homepage bekanntzugeben (siehe Artikel 37 Absatz 7 DS-GVO, wonach Ver-
antwortliche die Kontaktdaten der Datenschutzbeauftragten zu veröffentlichen
und der Aufsichtsbehörde mitzuteilen haben; vgl. hierzu auch Artikel 32 Absatz
4 JI-RL).
Wir empfehlen, den Standort des DSB so zu wählen, dass einerseits die Kon-
taktaufnahme etwa für ein persönliches Treffen und andererseits auch die effek-
tive Aufgabenerfüllung für den Datenschutzbeauftragten (beispielsweise für eine
Vor-Ort-Kontrolle bei der Stelle) mit geringem Aufwand möglich ist.
Den Datenschutzbeauftragten muss eine Kommunikation in der Sprache mög-
lich sein, welche für die Korrespondenz mit Aufsichtsbehörden und Betroffenen
notwendig ist (sprachliche Erreichbarkeit).
www.ldi.nrw.de – [email protected] Seite 8 von 28
4. Was ist unter „Kerntätigkeit“ im Sinne von Artikel 37 Absatz 1 Buchstaben b) und c) DS-GVO zu verstehen?
Erwägungsgrund 97 der DS-GVO führt aus, dass sich die Kerntätigkeit eines
Verantwortlichen im nicht-öffentlichen Bereich auf seine Haupttätigkeiten und
nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht.
Anders ausgedrückt zählen sogenannte Haupttätigkeiten, welchen den Ge-
schäftszweck unmittelbar fördern, zu den Kerntätigkeiten. Den täglichen Betrieb
begleitende Prozesse wie IT-Unterstützung gelten z. B. als Nebentätigkeit, da
sie den Geschäftszweck des Betriebes nicht unmittelbar fördern.
5. Was ist unter einer „umfangreichen“ Überwachung gemäß Artikel 37 Absatz 1 Buchstabe b) DS-GVO bzw. einer „umfangreichen“
Verarbeitung gemäß Artikel 37 Absatz 1 Buchstabe c) DS-GVO zu verstehen?
Die DS-GVO stellt keine Definition des Begriffs "umfangreich" zur Verfügung.
Folgende Faktoren können aus Erwägungsgrund 91 der DS-GVO für die Beurtei-
lung, ob eine "umfangreiche" Überwachung bzw. Verarbeitung vorliegt, heran-
gezogen werden:
- (große) Menge personenbezogener Daten (Volumen),
- Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geo-
grafischer Aspekt),
- Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur rele-
vanten Bezugsgröße)
- Dauer der Verarbeitung (zeitlicher Aspekt).
Sind mehrere Faktoren hoch, so spricht dies für eine "umfangreiche" Überwa-
chung bzw. Verarbeitung.
Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als um-
fangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder
von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen
www.ldi.nrw.de – [email protected] Seite 9 von 28
eines Gesundheitsberufes oder Rechtsanwalt erfolgt (Erwägungsgrund 91 der
DS-GVO).
6. Welche Besonderheiten gelten für die Pflicht zur Benennung von
Datenschutzbeauftragten bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs?
Mit Wirksamwerden der Datenschutz-Grundverordnung gelten für die Bestell-
pflicht von Datenschutzbeauftragten neue Regelungen. Die Datenschutzkonfe-
renz veröffentlicht dazu ihre Auffassung zur Anwendung bei Arztpraxen, Apo-
theken und sonstigen Angehörigen eines Gesundheitsberufs. Den Beschluss fin-
den Sie hier.
Im Kern bedeutet das: Bei Arztpraxen, Apotheken und sonstigen Angehörigen
eines Gesundheitsberufs wird grundsätzlich dann nicht von einer umfangreichen
Datenverarbeitung auszugehen sein, wenn weniger als 10 Personen mit der Da-
tenverarbeitung beschäftigt sind. In diesen Fällen müssen also trotz der Verar-
beitung besonderer Datenkategorien nach Art. 9 DS-GVO keine Datenschutzbe-
auftragten benannt werden.
7. Welche Besonderheiten gelten für die Pflicht zur Benennung von
Datenschutzbeauftragten in Maklerbüros?
Versicherungsmakler beschäftigen sich im Rahmen ihrer Tätigkeit ebenfalls mit
der Verarbeitung von Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DS-GVO,
z. B. bei Lebensversicherungen, Berufsunfähigkeit…etc.
Um eine Pflicht zur Benennung von Datenschutzbeauftragten auszulösen, muss
die Datenverarbeitung außerdem zur Kerntätigkeit des Maklers gehören und
darüber hinaus umfangreich im Sinne von Art. 37 Abs. 1 lit. c DS-GVO sein.
Bei einzelnen Maklern, die ihre Tätigkeiten im Rahmen des üblichen Standard-
geschäftes ausüben, fehlt es jedenfalls an einer umfangreichen Datenverarbei-
www.ldi.nrw.de – [email protected] Seite 10 von 28
tung. Hintergrund hierzu ist ein Erst-Recht-Schluss aus Erwägungsgrund 91 der
DS-GVO. Dieser enthält eine Vermutung, dass einzelne Ärzte grundsätzlich kei-
ne umfangreiche Datenverarbeitung vornehmen. Im Rahmen eines Erst-Recht-
Schlusses muss diese Erwägung auch für einzelne Makler gelten.
Grundsätzlich gilt: Die Benennung von Datenschutzbeauftragten ist gem. Art.
37 Abs. 4 S. 1 DS-GVO aber auch auf freiwilliger Basis möglich. Dies ist grund-
sätzlich zu empfehlen, um die Einhaltung der datenschutzrechtlichen Bestim-
mungen zu erleichtern und damit ggf. aufsichtsbehördliche Maßnahmen zu
vermeiden.
8. Wann liegt eine „regelmäßige und systematische Überwachung“
gemäß Artikel 37 Absatz 1 Buchstabe b) DS-GVO vor?
Der Ausdruck der regelmäßigen und systematischen Überwachung wird in der
DS-GVO nicht näher definiert. Erwägungsgrund 24 der DS-GVO gibt erste An-
haltspunkte. Danach wird eine Verarbeitungstätigkeit dann als Beobachtung des
Verhaltens von betroffenen Personen eingeordnet, wenn ihre Internetaktivitäten
nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung
von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer
natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für
sie betreffende Entscheidungen bildet oder anhand dessen die persönlichen Vor-
lieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt
werden sollen.
Regelmäßig ist die Beobachtung des Verhaltens von betroffenen Personen dann,
wenn diese über einen längeren Zeitraum andauert oder in regelmäßigen Ab-
ständen vorgenommen wird.
Eine systematische Beobachtung liegt dann vor, wenn diese methodisch nach
einem bestimmten, vorgegebenem System oder einer Strategie erfolgt.
www.ldi.nrw.de – [email protected] Seite 11 von 28
9. In welcher Form sind Datenschutzbeauftragte zu benennen?
Da die DS-GVO und die JI-RL lediglich von einer Benennung sprechen, ist eine
Schriftform, wie sie derzeit in § 4f Absatz 1 Satz 1 BDSG geregelt ist, nicht
mehr vorgeschrieben. Aus Beweisgründen und zur Rechtsklarheit ist eine
schriftliche Benennung von Datenschutzbeauftragten jedoch empfehlenswert.
Zudem wird empfohlen, die Aufgaben der Datenschutzbeauftragten durch den
Verantwortlichen im Vertrag explizit festzuhalten, damit sich Verantwortliche
und Datenschutzbeauftragte über die Aufgaben im Klaren sind.
10. Innerhalb welcher Frist sind Datenschutzbeauftragte zu benennen?
Da – anders als bisher in § 4f Absatz 1 Satz 2 BDSG – keine Frist geregelt ist,
ist die Pflicht sofort zu erfüllen, sobald die Voraussetzungen vorliegen. Bereits
erfolgte Benennungen nach dem BDSG werden vor diesem Hintergrund Bestand
haben. Stellung und Aufgaben von Datenschutzbeauftragten werden nun aber
nach der DS-GVO bzw. der JI-RL auszurichten sein. Jedenfalls ist eine (formale)
Neubestellung zur Klarstellung unter dem Regime der neuen Rechtsordnung zu
empfehlen.
11. Können auch externe Datenschutzbeauftragte benannt werden?
Die Benennung von externen Datenschutzbeauftragten ist zulässig. Der Daten-
schutzbeauftragte können ihre Aufgaben auch auf Grundlage eines Dienstleis-
tungsvertrages erfüllen (Artikel 37 Absatz 6 DS-GVO). Anders als bisher im Da-
tenschutzgesetz Nordrhein-Westfalen gilt dies auch für öffentliche Stellen.
www.ldi.nrw.de – [email protected] Seite 12 von 28
12. Können juristische Personen als Datenschutzbeauftragte benannt werden?
Die Benennung juristischer Personen als Datenschutzbeauftragte ist unzulässig,
da Wortlaut und Systematik der DS-GVO nur natürliche Personen als Daten-
schutzbeauftragte vorsehen.
So heißt es in Erwägungsgrund 97:
„In Fällen, in denen die Verarbeitung (…) im privaten Sektor durch einen Ver-
antwortlichen erfolgt, (…) sollte der Verantwortliche oder der Auftragsverarbei-
ter bei der Überwachung der internen Einhaltung der Bestimmungen dieser
Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet
des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt wer-
den. (…) Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es
sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre
Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
Des Weiteren werden nach Artikel 37 Absatz 5 DS-GVO Datenschutzbeauftragte
auf Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt.
Nur natürliche Personen können die nötige „berufliche“ Fachkunde und Zuver-
lässigkeit aufweisen und nur zu diesen ist eine vertrauliche Beziehung der Be-
teiligten möglich. Die zu Datenschutzbeauftragten benannten natürlichen Per-
sonen dürfen jedoch Hilfspersonal einsetzen, wie etwa Vertreter, Datenschutz-
ansprechpartner und Koordinatoren.
Die Artikel-29-Gruppe hält die Benennung einer juristischen Person in ihrer un-
verbindlichen Auslegungshilfe für zulässig. Wie sie hierzu im Working Paper 243
rev. 0.1 aber ausgeführt hat, setzt die Benennung einer juristischen Person vo-
raus, dass jedes Mitglied der Einrichtung, das die Funktion eines Datenschutz-
beauftragten wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten An-
forderungen erfüllt.
www.ldi.nrw.de – [email protected] Seite 13 von 28
Dies macht die Benennung einer juristischen Person als Datenschutzbeauftragte
schon per se unattraktiv und ist unserer Einschätzung zufolge auch nicht zuläs-
sig.
13. Welche Voraussetzungen müssen Datenschutzbeauftragte erfül-len?
Datenschutzbeauftragte müssen folgende Voraussetzungen erfüllen (Artikel 37
Absatz 5 DS-GVO, vgl. Artikel 32 Absatz 2 JI-RL):
berufliche Qualifikation
Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutz-
praxis
die Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DS-GVO (vgl. Ar-
tikel 34 JI-RL).
Im Rahmen der beruflichen Qualifikation sollten die eingesetzten Datenschutz-
beauftragten über ausreichende Kenntnisse und/oder Berufserfahrung im be-
treffenden Wirtschaftsbereich verfügen und im Stande sein, die verschiedenen
Verarbeitungsprozesse zu erfassen. Behördliche Datenschutzbeauftragte sollten
dementsprechend ein fundiertes Fachwissen im Bereich der Verwaltung vorwei-
sen können und die internen Prozesse gut kennen. Datenschutzbeauftragte soll-
ten darüber hinaus ein solides Fachwissen in Bezug auf das IT-System und IT-
Sicherheitsmaßnahmen verfügen und die damit einhergehenden datenschutz-
rechtlichen Bedürfnisse erkennen und im Arbeitsalltag berücksichtigen können.
Das erforderliche Niveau des Fachwissens richtet sich insbesondere nach den
durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz für die
personenbezogenen Daten, die der Verantwortliche oder der Auftragsverarbeiter
verarbeiten. Je komplexer Datenverarbeitungen im Einzelfall sind oder je größer
die Menge sensibler Daten ist, desto höhere Anforderungen sind an das not-
wendige Fachwissen des Datenschutzbeauftragten zu stellen.
www.ldi.nrw.de – [email protected] Seite 14 von 28
Die Zuverlässigkeit wird in den neuen Regelungen der DS-GVO – im Unter-
schied zum BDSG (dort in § 4f Absatz 2 Satz 1 BDSG geregelt) – nicht explizit
erwähnt.
Die DS-GVO verzichtet auf Vorgaben, wie Datenschutzbeauftragte die notwen-
dige fachliche Qualifikation erwerben sollen. Schulungen und Zertifikate sind
nicht verpflichtend, im Prinzip wäre auch ein Selbststudium möglich. Allerdings
ist jede Fortbildungsmaßnahme zu begrüßen, die der Aufrechterhaltung oder
dem Erwerb der Fachkunde dienlich sein kann. Eine Empfehlung für bestimmte
Fortbildungsmaßnahmen kann nicht getätigt werden.
14. Können Angehörige, die in einem familiären oder persönlichen
Verhältnis zum Verantwortlichen stehen, als Datenschutzbeauf-tragte benannt werden?
Weder die EU Datenschutz-Grundverordnung noch das Bundesdatenschutzge-
setz-neu schließen eine Benennung von Personen ausdrücklich aus, die in fami-
liärer oder persönlicher Beziehung zum Verantwortlichen oder Auftragsverarbei-
ter stehen. Prinzipiell wäre es insofern auch möglich, wenn Familienangehörige,
Lebens- oder Ehepartner der Leitung einer Stelle die Positionen als Daten-
schutzbeauftragte übernehmen. Voraussetzung ist allerdings, dass sie in dieser
Tätigkeit unabhängig und frei von Interessenkollisionen ihre Aufgaben erfüllen
können. Ob die betreffenden Personen tatsächlich objektiv, unabhängig und
weisungsfrei ihrer Aufgabe nachgehen werden, lässt sich in dieser Allgemeinheit
nicht pauschal beantworten. Hier kommt es gerade darauf an, ob oder wie die
Personen selbst ihre Rolle als unabhängige Datenschutzkontrolleure verstehen
und wie sie ihre Positionen gegenüber den Leitungen dann auch vertreten.
Gleichwohl ist – bei vorhandener Wahlmöglichkeit, soweit noch andere Optionen
vorhanden sind – eher davon abzuraten, Angehörige oder Lebenspartner der
Leitung einer Stelle als Datenschutzbeauftragte zu bestellen, weil eine unab-
hängige Wahrnehmung der Funktion als Datenschutzbeauftragte z. B. von Mit-
arbeitern oder Kunden angezweifelt werden könnte.
www.ldi.nrw.de – [email protected] Seite 15 von 28
15. Was muss veröffentlicht und mitgeteilt werden?
Anders als bisher müssen Verantwortliche und Auftragsverarbeiter die Kontakt-
daten ihrer Datenschutzbeauftragten
1. veröffentlichen und
2. diese der zuständigen Aufsichtsbehörde mitteilen
(Artikel 37 Absatz 7 DS-GVO, vgl. Artikel 32 Absatz 4 JI-RL).
Daher sind die Kontaktdaten sowohl innerhalb der Organisation des Verantwort-
lichen (Intranet, Organisationspläne), als auch auf der Homepage für außenste-
hende Dritte zu veröffentlichen.
Was zu den Kontaktdaten der Datenschutzbeauftragten gehört, gibt die DS-GVO
nicht ausdrücklich vor. Wichtig ist, dass durch die Angabe der Kontaktdaten ei-
ne leichte Kontaktaufnahme zu den Datenschutzbeauftragten gewährleistet ist.
Empfohlen wird, mindestens folgende Kontaktdaten der Datenschutzbeauftrag-
ten zu veröffentlichen:
Adresse
Telefon-Nummer,
E-Mail-Adresse der Datenschutzbeauftragten und
Ggf. sonstige Möglichkeit der Kontaktaufnahme (DSB-Hotline, Kontakt-
formular auf der Webseite o.ä.).
Artikel 37 Absatz 7 DS-GVO gibt nicht verpflichtend vor, dass auch der Name
der Datenschutzbeauftragten veröffentlicht werden soll. Empfohlen wird, auch
den Namen sowohl innerhalb für die Beschäftigten, als auch außerhalb des Un-
ternehmens oder der Behörde zugänglich zu machen, wobei in jedem Fall we-
nigstens intern eine Veröffentlichung der Kontaktdaten inklusive Namen des
Datenschutzbeauftragten erfolgen sollte.
In jedem Fall ist die Meldung des Namens der Datenschutzbeauftragten an die
Aufsichtsbehörde essentiell dafür, dass Datenschutzbeauftragte ihrer Tätigkeit
www.ldi.nrw.de – [email protected] Seite 16 von 28
als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen können (vgl. Artikel
39 Absatz 1 Buchstabe e) DS-GVO).
16. Wo müssen die Kontaktdaten des Datenschutzbeauftragten ge-
nannt werden?
In den folgenden, abschließenden Fällen müssen die Kontaktdaten der Daten-
schutzbeauftragten genannt bzw. bekannt gegeben werden:
Information der betroffenen Person bei Erhebung von personenbezoge-
nen Daten bei der betroffenen Person selbst;
(Artikel 13 Absatz 1 Buchstabe b) DS-GVO)
Der betroffenen Person zur Verfügung zu stellende oder zu erteilende In-
formationen;
(Artikel 13 Absatz 1 Buchstabe b) JI-RL (nach Umsetzung in nationales
Recht))
Information der betroffenen Person bei Erhebung von personenbezoge-
nen Daten bei Dritten;
(Artikel 14 Absatz 1 Buchstabe b) DS-GVO)
Angabe der Kontaktdaten der Datenschutzbeauftragten im Verarbei-
tungsverzeichnis des Verantwortlichen;
(Artikel 30 Absatz 1 Buchstabe a), Absatz 2 Buchstabe a) DS-GVO, Arti-
kel 24 Absatz 1 Buchstabe a), Absatz 2 Buchstabe a) JI-RL (nach Umset-
zung in nationales Recht))
Mitteilung des Namens und der Kontaktdaten der Datenschutzbeauftrag-
ten an die Aufsichtsbehörde bei Verletzungen des Schutzes personenbe-
zogener Daten;
(Artikel 33 Absatz 3 Buchstabe b) DS-GVO, Artikel 30 Absatz 3 Buchstabe
b) JI-RL (nach Umsetzung in nationales Recht))
Mitteilung des Namens und der Kontaktdaten der Datenschutzbeauftrag-
ten an die betroffene Person bei Verletzungen des Schutzes personenbe-
zogener Daten;
www.ldi.nrw.de – [email protected] Seite 17 von 28
(Artikel 34 Absatz 2 i. V. m. Artikel 33 Absatz 3 Buchstabe b) DS-GVO,
Artikel 31 Absatz 2 i. V. m. Artikel 30 Absatz 3 Buchstabe b) JI-RL (nach
Umsetzung in nationales Recht))
Mitteilung der Kontaktdaten der Datenschutzbeauftragten an die Auf-
sichtsbehörde bei einer Konsultation im Sinne von Artikel 35 DS-GVO;
(Artikel 36 Absatz 3 Buchstabe d) DS-GVO)
Veröffentlichung der Kontaktdaten der Datenschutzbeauftragten durch
den Verantwortlichen und Mitteilung der Kontaktdaten an die Aufsichts-
behörde
(Artikel 37 Absatz 7 DS-GVO, Artikel 32 Absatz 4 JI-RL (nach Umsetzung
in nationales Recht)).
17. Was gilt für Sozialleistungsträger (wie z. B. Jobcenter, Sozial-
oder Jugendämter) in Bezug auf die Benennung eines Daten-schutzbeauftragten?
Nach Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung (DS-GVO)
benennen Verantwortliche und der Auftragsverarbeiter auf jeden Fall einen Da-
tenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentli-
chen Stelle durchgeführt wird.
Für Behörden und öffentliche Stellen gilt nach der DS-GVO somit europaweit
eine generelle Pflicht zur Benennung von Datenschutzbeauftragten.
Sozialleistungsträger, wie z. B. Jobcenter, Sozial- oder Jugendämter, stellen
eigenständige Verantwortliche dar und sind insoweit von der Gemeinde als Ver-
antwortliche im Sinne des DSG NRW zu unterscheiden.
Dies macht die Regelung des § 67 Abs. 4 SGB X deutlich:
„Werden Sozialdaten von einem Leistungsträger im Sinne von § 12 des Ersten
Buches verarbeitet, ist der Verantwortliche der Leistungsträger. Ist der Leis-
tungsträger eine Gebietskörperschaft, so sind der Verantwortliche die Organisa-
tionseinheiten, die eine Aufgabe nach einem der besonderen Teile dieses Ge-
setzbuches funktional durchführen.“
www.ldi.nrw.de – [email protected] Seite 18 von 28
Das bedeutet, dass die Sozialleistungsträger als eigenständige Verantwortliche
auch sämtliche Pflichten des Datenschutzrechts umsetzen müssen, zu denen
u.a. auch die Pflicht zur Benennung von Datenschutzbeauftragten gehört.
Als Datenschutzbeauftragte können geeignete Personen innerhalb oder außer-
halb des Verantwortlichen bzw. des Auftragsverarbeiters benannt werden. Be-
hörden oder öffentliche Stellen haben ferner die Möglichkeit, für mehrere Be-
hörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ih-
rer Größe gemeinsame Datenschutzbeauftragte zu benennen (Art. 37 Absatz 3
DS-GVO). So ist beispielsweise denkbar, dass Datenschutzbeauftragte der
Kommunen zugleich als Datenschutzbeauftragte für Jobcenter benannt werden.
Der Bezug auf Organisationsstruktur und Größe bedeutet auch, dass Verant-
wortliche und Auftragsverarbeiter sicherstellen müssen, dass gemeinsame Da-
tenschutzbeauftragte in der Lage sind, die Aufgaben zu erfüllen, welche ihnen in
Bezug auf sämtliche Behörden oder öffentlichen Stellen übertragen wurden.
www.ldi.nrw.de – [email protected] Seite 19 von 28
II. Stellung der Datenschutzbeauftragten, Artikel 38 DS-GVO/Artikel 33 JI-RL/§ 38 Absatz 2 BDSG-neu i. V.
m. §6 BDSG-neu
1. Dürfen Datenschutzbeauftragte zusätzlich andere Aufgaben ha-
ben? (Interessenkonflikt)
Datenschutzbeauftragte können über die in Artikel 39 DS-GVO aufgezählten
Aufgaben hinaus auch andere Aufgaben und Pflichten wahrnehmen (Art. 38 Ab-
satz 6 Satz 1 DS-GVO). Es liegt im Verantwortungsbereich des Verantwortlichen
oder des Auftragsverarbeiters, dass derartige zusätzliche Aufgaben und Pflich-
ten nicht zu einem Interessenkonflikt führen (Art. 38 Absatz 6 Satz 2 DS-GVO).
Das bedeutet im Einzelnen, dass Datenschutzbeauftragte zwar andere Aufgaben
und Pflichten neben ihrer Tätigkeit als Datenschutzbeauftragte wahrnehmen
können, diese dürfen aber nicht solche sein, welche einen engen Bezug zu Ver-
arbeitungen von personenbezogenen Daten haben.
Beispiele für Tätigkeitsfelder, welche zu einem Interessenkonflikt führen kön-
nen:
- Leitung eines Unternehmens oder einer Behörde
- Leitung der IT-Abteilung
- Leitung der Personal-Abteilung
- Beschäftigte der IT- oder Personal-Abteilung, wenn diese in der Lage
sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu be-
einflussen.
2. Welche Grundsätze gelten hinsichtlich der Datenschutzbeauftrag-ten?
Verschwiegenheitspflicht
Datenschutzbeauftragte sind nach dem Recht der Union oder der Mitgliedstaa-
ten bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder
www.ldi.nrw.de – [email protected] Seite 20 von 28
Vertraulichkeit gebunden (vgl. Artikel 38 Absatz 5 DS-GVO, vgl. § 38 Absatz 2 i.
V. m. § 6 Absatz 5 Satz 2 BDSG-neu).
Risikoorientierter Ansatz
Datenschutzbeauftragte tragen bei der Erfüllung ihrer Aufgaben dem mit den
Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie
die Art und den Umfang, die Umstände und die Zwecke der Verarbeitung be-
rücksichtigen (Artikel 39 Absatz 2 DS-GVO).
Anrufungsrecht der Betroffenen
Betroffene Personen können Datenschutzbeauftragte zu allen Fragen zu Rate
ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der
Wahrnehmung ihrer Rechte im Zusammenhang stehen. Datenschutzbeauftragte
dienen den betroffenen Personen somit als Ansprechpartner für sämtliche Fra-
gen rund um den Datenschutz (vgl. Artikel 38 Absatz 4 DSGVO).
Unmittelbarer Berichtsweg an die höchste Managementebene
Die DS-GVO sieht darüber hinaus einen unmittelbaren Berichtsweg an die
höchste Managementebene des Verantwortlichen oder des Auftragsverarbeiters
vor (vgl. Artikel 38 Absatz 3 Satz 3 DS-GVO).
Treffen Verantwortliche bzw. Auftragsverarbeiter Entscheidungen, die der DS-
GVO und den Empfehlungen des Datenschutzbeauftragten zuwiderlaufen, müs-
sen Datenschutzbeauftragte die Möglichkeit haben, ihre abweichende Meinung
den Entscheidungsträgern deutlich mitzuteilen.
Zeugnisverweigerungsrecht
Das BDSG-neu sieht für Datenschutzbeauftragte ein Zeugnisverweigerungsrecht
vor (vgl. § 38 Absatz 2 i. V. m. § 6 Absatz 6 BDSG-neu, § 4f Absatz 4a BDSG-
alt).
www.ldi.nrw.de – [email protected] Seite 21 von 28
3. Welche Ressourcen müssen Datenschutzbeauftragten zur Verfü-gung gestellt werden, damit diese ihre Aufgaben ordnungsgemäß
erfüllen können?
Verantwortliche oder Auftragsverarbeiter müssen Folgendes sicherstellen:
• ordnungsgemäße und frühzeitige Einbindung der Datenschutzbeauftrag-
ten bei allen Fragen, die mit dem Schutz personenbezogener Daten zu
tun haben (Artikel 38 Absatz 1 DS-GVO, vgl. Artikel 33 Absatz 1 JI-RL),
• Unterstützung der Datenschutzbeauftragten bei ihrer Aufgabenerfüllung,
d.h.
o Bereitstellen der erforderlichen Ressourcen wie Arbeitszeit, Räume, Mitarbeiter,
o Ermöglichung des Zugangs zu personenbezogenen Daten und Verar-
beitungsvorgängen,
o Bereitstellen der zur Erhaltung des Fachwissens erforderlichen Ressour-
cen wie Literatur und Fortbildung (Artikel 38 Absatz 2 DS-GVO, vgl. Arti-kel 33 Absatz 2 JI-RL),
Weisungsfreiheit (Artikel 38 Absatz 3 Satz 1 DS-GVO) und
• Unabhängigkeit (explizit erwähnt in Erwägungsgrund 97 der DS-GVO und
Erwägungsgrund 63 der JI-RL).
4. Haben Datenschutzbeauftragte einen besonderen Kündigungs-
schutz?
Die DS-GVO und die JI-RL sichern Datenschutzbeauftragte in ihrer Stellung
nicht so stark ab wie das Bundesdatenschutzgesetz neu oder das Datenschutz-
gesetz Nordrhein-Westfalen. Verantwortliche oder Auftragsverarbeiter dürfen
Datenschutzbeauftragte wegen der Erfüllung ihrer Aufgaben nicht abberufen
oder benachteiligen (Artikel 38 Absatz 3 Satz 2 DS-GVO). Ein besonderer ar-
beitsrechtlicher Kündigungsschutz ist in der DS-GVO nicht vorgesehen. Das
BDSG-neu sieht weiterhin einen Sonderkündigungsschutz und einen Abberu-
fungsschutz für Datenschutzbeauftragte nach dem Muster des § 4f Absatz 3
BDSG-alt vor (vgl. § 38 Absatz 2 BDSG-neu i. V. m. § 6 Absatz 4 BDSG-neu).
www.ldi.nrw.de – [email protected] Seite 22 von 28
III. Aufgaben der Datenschutzbeauftragen, Artikel 39 DS-GVO/Artikel 34 JI-RL
1. Welche Aufgaben haben Datenschutzbeauftragte?
Datenschutzbeauftragte haben mindestens die Aufgaben nach Artikel 39 DS-
GVO bzw. Artikel 34 JI-RL (nach Umsetzung in nationales Recht) zu erfüllen.
Dazu zählen:
Unterrichtung und Beratung des Verantwortlichen (oder des Auftragsver-
arbeiters) und der Beschäftigten, die Verarbeitungen durchführen hin-
sichtlich ihrer Pflichten nach der DS-GVO bzw. der JI-RL sowie sonstigen
Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten;
(ehemals § 4g Abs. 1 S.1 BDSG, nun geregelt in Artikel 39 Absatz 1
Buchstabe a) DS-GVO, vgl. Artikel 34 Buchstabe a) JI-RL)
Überwachung der Einhaltung der DS-GVO bzw. der JI-RL und anderer
Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der
Strategien des Verantwortlichen für den Schutz personenbezogener Da-
ten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisie-
rung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter
und der diesbezüglichen Überprüfungen;
(ehemals § 4g Abs. 1 S.4 Nr. 2 BDSG, nun geregelt in Artikel 39 Absatz 1
Buchstabe b) DS-GVO, vgl. Artikel 34 Buchstabe b) JI-RL)
Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-
Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel
35 DS-GVO;
(Artikel 39 Absatz 1 Buchstabe c) DS-GVO, vgl. Artikel 34 Buchstabe c)
JI-RL)
Zusammenarbeit mit der Aufsichtsbehörde; (Artikel 39 Absatz 1 Buchsta-
be d) DS-GVO, vgl. Artikel 34 Buchstabe d) JI-RL)
Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammen-
hängenden Fragen einschließlich der vorherigen Konsultation gemäß Arti-
www.ldi.nrw.de – [email protected] Seite 23 von 28
kel 36 DS-GVO bzw. Artikel 28 JI-RL und gegebenenfalls Beratung zu al-
len sonstigen Fragen; (Artikel 39 Absatz 1 Buchstabe e) DS-GVO, vgl. Ar-
tikel 34 Buchstabe e) JI-RL)
Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung ihrer
personenbezogenen Daten (Artikel 38 Absatz 4 DS-GVO).
2. Was bedeutet die Überwachung der Einhaltung der Verordnung bzw. Richtlinie für Datenschutzbeauftragte?
Datenschutzbeauftragten obliegt die Überwachung der Einhaltung der Verord-
nung bzw. Richtlinie, anderer Datenschutzvorschriften der Union bzw. der Mit-
gliedstaaten sowie der Strategien des Verantwortlichen oder des Autragsverar-
beiters für den Schutz personenbezogener Daten (Artikel 39 Absatz 1 Buchsta-
be b) DS-GVO; vgl. Artikel 34 Buchstabe b) JI-RL). Erwägungsgrund 97 der DS-
GVO spezifiziert, dass der Verantwortliche oder der Auftragsverarbeiter bei der
Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung
von einer weiteren Person, die über Fachwissen auf dem Gebiet des Daten-
schutzrechts und der Datenschutzverfahren verfügt, unterstützt werden sollte.
Der Schwerpunkt bei der Aufgabenwahrnehmung durch Datenschutzbeauftragte
liegt demnach bei der Unterstützung des Verantwortlichen oder des Auf-
tragsverarbeiters, etwa durch folgende Maßnahmen:
• Sammlung von Informationen, um Verarbeitungsaktivitäten zu identifizie-
ren
• Analyse und Überprüfung der Verarbeitungsaktivitäten auf Einhaltung der
rechtlichen Vorgaben
• Information und Beratung des Verantwortlichen oder Auftragsverarbeiters
sowie Abgabe von Empfehlungen an diesen.
www.ldi.nrw.de – [email protected] Seite 24 von 28
3. Sind Datenschutzbeauftragte persönlich verantwortlich für die (Nicht-) Einhaltung der DS-GVO bzw. der JI-RL?
Nein, Datenschutzbeauftragte sind nicht persönlich verantwortlich für die
(Nicht-) Einhaltung der rechtlichen Vorgaben. Die DS-GVO und die JI-RL stellen
ausdrücklich klar, dass es die Pflicht des Verantwortlichen bzw. des Auf-
tragsverarbeiters bleibt, sicherzustellen und nachzuweisen, dass die Datenver-
arbeitungen im Einklang mit den Regelungen der DS-GVO und der JI-RL stehen
(vgl. Artikel 24 Absatz 1 DS-GVO, vgl. Artikel 19 JI-RL).
Datenschutzbeauftragte haben insoweit lediglich eine beratende und unterstüt-
zende Funktion.
4. Wie stellt sich die Zusammenarbeit mit der Aufsichtsbehörde dar?
Die Pflicht zur Zusammenarbeit und Kooperation mit der Aufsichtsbehörde ist
eine wichtige Neuregelung (Artikel 39 Absatz 1 Buchstabe d) DS-GVO; vgl. Arti-
kel 34 Buchstabe d) JI-RL). Datenschutzbeauftragte sind Ansprechpartner für
die Aufsichtsbehörde (Artikel 39 Absatz 1 Buchstabe e) DS-GVO; vgl. Artikel 34
Buchstabe e) JI-RL). Damit sind Datenschutzbeauftragte auch berechtigt, direkt
mit der Aufsichtsbehörde zu kommunizieren. Dieser Umstand ist auch für die
Aufsichtsbehörde von Bedeutung, die sich bislang vorrangig an die Unterneh-
mensleitung zu wenden hatte.
5. Was wird aus der Vorabkontrolle?
Die Vorabkontrolle, für die vormals Datenschutzbeauftragte zuständig waren (§
4g Absatz 2 Satz 2 BDSG, § 32a Absatz 1 Satz 7 a.E. DSG NRW), wird von der
Datenschutz-Folgenabschätzung abgelöst (Artikel 35 DS-GVO; vgl. Artikel 27
JI-RL). Die Datenschutz-Folgenabschätzung führt der Verantwortliche selbst
durch.
www.ldi.nrw.de – [email protected] Seite 25 von 28
Hinsichtlich der Datenschutz-Folgenabschätzung haben Datenschutzbeauftragte
nur noch eine Überwachungs- und Beratungsaufgabe (Artikel 39 Absatz 1 Buch-
stabe c) DS-GVO; vgl. Artikel 34 Buchstabe c) JI-RL).
6. Welche Rolle spielen Datenschutzbeauftragte bei der Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO bzw. Artikel 27 JI-RL?
Es ist Aufgabe der Verantwortlichen, und nicht der Datenschutzbeauftragten,
eine Datenschutz-Folgenabschätzung (=DSFA), durchzuführen, falls sie erfor-
derlich ist (Artikel 35 Absatz 1 DS-GVO und Artikel 27 JI-RL). Datenschutzbe-
auftragte beraten und überwachen bei der DSFA. Dabei können sie eine wichti-
ge und nützliche Rolle als Assistenz des Verantwortlichen einnehmen.
Verantwortliche holen bei der Durchführung der DSFA den Rat der Datenschutz-
beauftragten ein, sofern solche benannt wurden (Artikel 35 Absatz 2 DS-GVO).
Verantwortliche sollen zu folgenden Gesichtspunkten den Rat der Datenschutz-
beauftragten einholen:
• Erforderlichkeit einer DSFA
• Strategie bei Durchführung der DSFA
• Entscheidung für eine interne oder ausgelagerte DSFA (Einbindung Exter-
ner)
• Sicherheitsvorkehrungen (inklusive technischer und organisatorischer
Maßnahmen), um die Risiken in Bezug auf die Rechte der Betroffenen zu
minimieren
• Prüfung, ob die Durchführung der DSFA richtig vorgenommen wurde und
ob die Schlussfolgerungen daraus mit den Vorgaben der DS-GVO bzw.
der JI-RL übereinstimmen (z. B. Vorschläge zur Eindämmung des erkann-
ten Risikos anhand der Implementierung verschiedener technischer und
organisatorischer Maßnahmen).
Rat von Datenschutzbeauftragten einzuholen, bedeutet nicht, dass Verantwort-
liche in jedem Fall dem Rat der Datenschutzbeauftragten zu folgen haben. Falls
www.ldi.nrw.de – [email protected] Seite 26 von 28
Verantwortliche sich dazu entscheiden sollten, vom Rat der Datenschutzbeauf-
tragten abzuweichen, sollten sie gewährleisten, die Gründe für die Abweichung
schriftlich zu dokumentieren, um ihre Rechenschaftspflicht zu erfüllen (Artikel 5
Absatz 2 DS-GVO bzw. Artikel 4 Absatz 4 JI-RL).
7. Welche Schwerpunkte sollten Datenschutzbeauftragte bei ihrer täglichen Arbeit setzen?
Datenschutzbeauftragte nehmen ihre Aufgaben risikoorientiert wahr (Artikel 39
Absatz 2 DS-GVO). Sie tragen bei der Erfüllung ihrer Aufgaben dem mit den
Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie
die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berück-
sichtigen. Sie sollen die Verarbeitungsaktivitäten danach unterscheiden, wie
hoch jeweils das Datenschutzrisiko ausfällt und ihre Tätigkeitsschwerpunkte
dementsprechend auf Verarbeitungsaktivitäten mit einem hohen Risikolevel set-
zen.
Diese Vorgehensweise erlaubt es Datenschutzbeauftragten, den Verantwortli-
chen oder Auftragsverarbeiter angemessen u.a. in folgenden Datenschutzfragen
zu beraten:
• Welche Bereiche sollen durch eine interne/externe Datenschutzprüfung
beleuchtet werden?
• Welche Schulungs- bzw. Fortbildungsangebote sollten den Beschäftigten
angeboten werden?
• Wann ist eine Datenschutz-Folgenabschätzung durchzuführen und welche
Methode ist bei der Durchführung einer Datenschutz-Folgenabschätzung
anzuwenden?
www.ldi.nrw.de – [email protected] Seite 27 von 28
8. Welche Rolle haben Datenschutzbeauftragte beim Verarbeitungs-verzeichnis?
Jeder Verantwortliche und jeder Auftragsverarbeiter muss ein Verzeichnis aller
Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen (Artikel 30
Absätze 1 und 2 DS-GVO; vgl. Artikel 24 Absätze 1 und 2 JI-RL). Das Verarbei-
tungsverzeichnis ermöglicht den Verantwortlichen und den Datenschutzbeauf-
tragten, die Verarbeitungstätigkeiten innerhalb der Organisation zu überblicken.
Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die
Nachvollziehbarkeit der internen Verarbeitungsprozesse.
Nach altem Recht führten Datenschutzbeauftragte das Verfahrensverzeichnis
und erteilten Auskunft daraus (§ 4g Absatz 2 Satz 2 BDSG, § 32a Absatz 3 Sät-
ze 2 und 3 DSG NRW). Nach der DS-GVO und der JI-RL entfallen diese Aufga-
ben für Datenschutzbeauftragte.
Das Verzeichnis von Verarbeitungstätigkeiten ist durch den Verantwortlichen
bzw. den Auftragsverarbeiter lediglich intern zu führen und auf Anforderung nur
der Aufsichtsbehörde zur Verfügung zu stellen, damit die betreffenden Verarbei-
tungsvorgänge überprüft werden können (Artikel 30 Absatz 4 DSGVO; vgl. Arti-
kel 24 Absatz 3 Satz 2 JI-RL).
Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen,
müssen keine Verzeichnisse führen (Artikel 30 Absatz 5 DS-GVO).
Dies gilt ausnahmsweise nicht, falls
• die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und
Freiheiten der betroffenen Personen birgt oder
• die Verarbeitung nicht nur gelegentlich erfolgt oder
• die Verarbeitung besondere Datenkategorien gemäß Artikel 9 Absatz 1
DS-GVO (z.B. Gesundheitsdaten) bzw. personenbezogene Daten über
strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO
betrifft.
Die Dokumentationsverpflichtung tritt dann wieder ein, wenn mindestens eine
www.ldi.nrw.de – [email protected] Seite 28 von 28
der genannten Bedingungen erfüllt ist („oder“). Dies wird der Regelfall sein, da
die Verarbeitung in den meisten Fällen nicht nur gelegentlich erfolgt. Auch so-
bald ein Daten verarbeitender Betrieb Lohn- und Gehaltsdaten mit dem Merk-
mal „Religionszugehörigkeit“ (bedingt durch die Kirchensteuergesetze zwin-
gend) versieht, ist die Rückausnahme „besondere Arten von Daten“ gegeben,
was zur Dokumentationspflicht führt.
Die LDI NRW empfiehlt zur Gewährleistung eines effektiven Datenschutz-
Managementsystems und zu Dokumentationszwecken in jedem Fall die Erstel-
lung eines schriftlichen, internen Verzeichnisses von Verarbeitungstätigkeiten,
auch wenn dies an sich nicht erforderlich wäre.
Weitere Dokumentation empfohlen
Die LDI NRW empfiehlt, weitere, dem Verständnis des Verarbeitungsverzeich-
nisses dienende, Informationen zur Dokumentation datenschutzrelevanter Vor-
gänge außerhalb des Verarbeitungsverzeichnisses zu erstellen und vorzuhalten
(z. B. ein Sicherheits- und Rechte-und-Rollen-Konzept, ein Wiederanlaufkonzept
sowie die Dokumentation des Ergebnisses einer gegebenenfalls durchgeführten
Datenschutz-Folgenabschätzung).
Diese Dokumente stellen keine Anlagen zum Verarbeitungsverzeichnis dar, son-
dern weitere, darüber hinausgehende Bausteine einer umfassenden Dokumen-
tation der organisationsinternen Datenschutzstrategie. Wir empfehlen, diese
Dokumente als Referenz im Verarbeitungsverzeichnis aufzuführen. Auf Anfrage
können diese Referenzdokumente zusätzlich zum Verarbeitungsverzeichnis der
Aufsichtsbehörde vorgelegt werden. Sie dienen zusammen mit dem Verarbei-
tungsverzeichnis der Umsetzung der Dokumentations- und Nachweispflichten
des Verantwortlichen bzw. des Auftragsverarbeiters nach Artikel 24 Absatz 1
DS-GVO (vgl. Artikel 19 JI-RL).